配置代理上网

学习交流群:4607630002017年上半年网络工程师下午真题+答案详细解析完整版第1题:阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内.
【说明】某企业网络拓扑如图1-1所示,中国电信和中国移动双链路接入,采用硬件设备实现链路负载均衡:主磁盘阵列的数据通过备份服务器到备份磁盘阵列.
请结合下图,回答相关问题.
问题:1.
1图1-1中,设备①处部署(1),设备②处部署(2),设备③处部署(3).
(1)~(3)备选答案(每个选项限选一次):入侵防御系统(IPS)B.
交换机C.
负载均衡问题:1.
2图1-1中,介质①处应采用(4),介质②处应采用(5)(4)~(5)备选答案(每个选项限选一次):双绞线B.
同轴电缆C.
光纤问题:1.
3图1-1中,为提升员工的互联网访问速度,通过电信出口访问电信网络,移动出口访问移动网络,则需要配置基于(6)地址的策略路由:运行一段时间后,网络管理员发现电信出口的用户超过90%以上,网络访问速度缓慢,为实现负载均衡,网络管理员配置基于(7)一地址的策略路由,服务器和数据区域访问互联网使用电信出口,行政管理区域员工访问互联网使用移动出口,生产业务区域员工使用电信出口.
问题:1.
4学习交流群:4607630001.
图1-1中,设备④处应为(8),该设备可对指定计算机系统进行安全脆弱性扫描和检测,发现其安全漏洞,客观评估网络风险等级.
2.
图1-1中,(9)设备可对恶意网络行为进行安全检测和分析.
3.
图1-1中,(10)设备可实现内部网络和外部网络之间的边界防护,依据访问规则,允许或者限制数据传输.
答案解析:问题一(共6分)(1)C(2)A(3)B综合分析,设备3是交换机,那么设备2是IPS,而设备1选择负载均衡.
问题二(共4分)(4)A(5)C介质1连接接入交换机和用户,为双绞线,而介质2连接FC交换机和磁盘阵列,所以是光纤.
问题三(共4分)(6)目的(7)源访问电信网络走电信出口,访问移动网络走移动出口,所以是基于目的地址的策略路由.
而后来根据需求改为基于源地址的策略路由.
问题四(共6分)(8)漏洞扫描设备(9)IPS(10)防火墙漏洞扫描通常是指基于漏洞数据库,通过扫描等手段,对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为.
漏洞扫描技术是一类重要的网络安全技术.
所以这里是漏洞扫描设备.
在图中,IPS设备对恶意网络行为进行分析.
防火墙设备实现内外网之间的安全保护.
第2题:阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内.
【说明】某公司的网络拓扑结构图如图2-1所示学习交流群:460763000问题:2.
1为了保障网络安全,该公司安装了一款防火墙,对内部网络、服务期以及外部网络进行逻辑隔离,其网络结构如图2-1所示.
包过滤防火墙使用ACL实现过滤功能,常用的ACL分为两种,编号为(1)的ACL根据IP报文的(2)域进行过滤,称为(3);编号为(4)的ACL根据IP报文中的更多域对数据包进行控制,称为(5)(1)~(5)备选项:A.
标准访问控制列表B.
扩展访问控制列表C.
基于时间的访问控制列表D.
1-99E.
0-99F.
100-199G.
目的的IP地址H.
源IP地址.
I.
源端口J.
目的端口问题2.
2如图2-1所示,防头墙的三个端口,端口⑥是(6)、端口⑦是(7)、端口⑧(8).
(6)~(8)是备选项A.
外部网络B.
内部网络C.
非军事区问题2.
3公司内部E地址分配如下1.
为保护内网安全,防火墙的安全配置要求如下(1)内外网用户均可访问Web服务器,特定主机200.
120.
100.
1可以通过Telnet访问Web服务器.
(2)禁止外网用户访问财务服务器,禁止财务部门访问Intemet,允许生产部门和行政部门访问Intemet.
根据以上需求,请按照防火墙的最小特权原则补充完成表2-2:学习交流群:460763000学习交流群:4607630002.
若调换上面配置中的第3条和第4条规则的顺序,则(16)(16)备选项:安全规则不发生变化财务服务器将受到安全威胁Web服务器将受到安全威胁内网用户将无法访问Intemet3.
在上面的配置中,是否实现了"禁止外网用户访问财务服务器"这条规则答案解析:问题一:(1)D(2)H(3)A(4)F(5)B问题1:访问控制列表用来限制使用者或设备,达到控制网络流量,解决拥塞,提高安全性等.
在IP网络中,可以使用的访问列表有标准访问列表(值为1~99、1300-1999)、扩展访问列表(标号为100~199、2000-2699)两种.
标准访问列表:基于源IP地址进行判定是否允许或拒绝数据包通过.
扩展的访问列表是在标准访问列表的基础上增加更高层次的控制,它能够基于目的地址、端口号码、协议来控制数据包.
问题二:(6)A(7)C(8)B问题2:防火墙通常具有至少3个接口,使用防火墙时,就至少产生了3个网络,描述如下:内部区域(内网).
内部区域通常就是指企业内部网络或者是企业内部网络的一部分.
它是互连网络的信任区域,即受到了防火墙的保护.
外部区域(外网).
外部区域通常指Internet或者非企业内部网络.
它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问.
非军事区(DMZ,又称停火区).
是一个隔离的网络,或几个网络.
位于区域内的主机或服务器被称为堡垒主机.
一般在非军事区内可以放置Web、Mail服务器等.
停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许它们访问企业内部网络.
答案解析:问题三:(9)10.
10.
200.
1(10)80(11)200.
120.
100.
1(12)23(13)192.
168.
10.
0(14)允许(15)拒绝(16)D(17)已经实现,除开允许的,其余均已经禁止学习交流群:460763000问题3:配置略,请查看答案.
访问控制列表就是用来在路由技术的网络中,决定这些数据流量是应该被转发还是被丢弃的技术.
同时访问控制列表成为实现防火墙实现的重要手段.
设置ACL的一些规则:1,按顺序进行比较,先比较第一行,再比较第二行,直到最后一行;从第一行起,直到找到1个符号条件的行;符合之后,其余的行就可以不用继续比较下去;3,默认在每个ACL中最后一行都隐藏有拒绝所有,如果之前没找到一条允许(permit)语句,意味着包将会被丢弃,所以每个ACL必须至少有一行Permit语句,除非用户想把所有的数据包丢弃.
如果3、4条规则顺序交换,会导致内网用户无法访问互联网.
另外禁止外网访问财务服务器已经实现,因为配置中除开允许的,其余均已经禁止第3题:阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内.
【说明】请根据Windows服务器的安装与配置,回答下列问题.
问题:3.
1图3-1是安装好的服务器管理器界面,在当前配置下,根域的名称是(1).
图示中角色服务配置时,建立域控制器DC(DomainController),需要通过命令行方式运行(2)命令;域中的DC和DNS配置在同一设备时,需要将独立服务器的首个DNS与DC的IP学习交流群:460763000地址配置为(3);DHCP服务加入DC需要(4),否则服务报错.
(2)备选答案:A.
dcomcnfgB.
dcpromo问题:3.
23-2是hosts文件内容,图3-3是配置安全站点https://webtest.
com的界面.
3-2中,127.
0.
0.
1webtest.
com的含义是(5).
在建立安全站点时,需要在WEB服务器上启用(6)功能,并且绑定创建好的证书.
备选答案:A:SSLB.
代理若将图3-3中https的端口号改为8000,访问站点的URL是(7)问题:3.
3学习交流群:460763000图3-4是通过设备管理器查看到的信息,未安装驱动程序的设备提供(8)功能.
在"驱动程序"选项卡中会显示驱动程序提供商、驱动程序日期、驱动程序版本和(9)信息.
若更新驱动程序后无法正常运行,可以在该选项卡页面通过(10)操作将以前的驱动程序恢复.
(9)备选答案:A.
数字签名B.
硬件类型答案解析:问题一:(1)con-oso.
com(2)B(3)一样(4)授权答案解析:问题二:(5)在主机HOSTS表中建立webtest.
com和127.
0.
0.
1的对应关系(6)A学习交流群:460763000(7)https://webtest.
com:8000问题二:(5)在主机HOSTS表中建立webtest.
com和127.
0.
0.
1的对应关系SSL可以对万维网客户与服务器之间传送的数据进行加密和鉴别.
在双方握手阶段,对将要使用的加密算法和双方共享的会话密钥进行协商,完成客户与服务器之间的鉴别.
在握手完成后,所传送的数据都使用会话密钥进行传输.
答案解析:问题三:(8)更新驱动程序(9)A(10)回退驱动程序第4题:阅读以下说明,回答问题1至问题2,将解答填入答题纸对应的解答栏内.
【说明】图4-1为某学校网络拓扑图,运营商分配的公网IP地址为113.
201.
60.
1/29,运营商网关地址为113.
201.
60.
1,内部用户通过路由器代理上网,代理地址为113.
201.
60.
2.
核心交换机配置基于全局的DHCP服务,在办公楼和宿舍楼用户提供DHCP服务.
内部网络划分为3个VLAN,其中VLAN10的地址10.
0.
10.
1/24,VLAN20的地址10.
0.
20.
1/24,VLAN30的地址10.
0.
30.
1/24,请结合下图,回答相关问题学习交流群:460763000问题:4.
1路由器的配置片段如下,根据图4-1,补齐(1)~(6)空缺的命令.
#配置WAN接口和内网上网代理system-view[Huawei]sysname()[Router]interface()[Router-GigabitEthernet1/0/0]ipaddress[Router-GigabitEthernet1/0/0]quit[Router]iproute-static0.
0.
0.
00.
0.
0()[Router-acI-basic-2000][Router-acI-basic-2000]rule5permitsource10.
0.
0()[Router-acl-basic-2000]quit[Router]interfaceGigabitEthernet1/0/0[Router-GigabitEthernet1/0/0]natoutbound()[Router-GigabitEthernet1/0/0]quit……其他配置略问题:4.
2核心交换机的配置片段如下,根据图4-1,补齐(7)~(10)学习交流群:460763000空缺的命令.
#配置GEO/0/2接口加入VLAN20,并配置对应VLAN接口地址[Switch]vlanbatch20[Switch]inlterfaceGigabitEthernet0/0/2[Switch-GigabitEthernet0/0/2]portlink-type()[Switch-GigabitEthernet0/0/2]porthybridpvidvlan20[Switch-GigabitEthernet0/0/2]porthybriduntaggedvlan20[Switch-GigabitEthernet0/0/2]quit[Switch]interfacevlanif20[Switch-Vlanif20]ipaddress()[Switch-Vlanif20]quit.
.
.
.
.
.
.
其他配置略#配置DHCP服务,租期3天[Switch]dhcp()[Switch]ippoolpooll[Switch-ip-pool-pooll]network10.
0.
20.
0mask225.
225.
255.
0[Switch-ip-pool-pooll]dns-list10.
010.
2[Switch-ip-pool-pooll]gateway-list10.
0.
20.
1[Switch-ip-pool-pooll]lesaeday()[Switch-ip-pool-pooll]quit[Switch]interfacevlanif20[Switch-Vlanif20]dhcpselectglobal[Switch-Vlanif20]quit.
.
.
.
.
.
其他配置略答案解析:问题一:(共9分)学习交流群:460763000(1)Router(2)GigabitEthernet1/0/0(3)113.
201.
60.
2255.
255.
255.
248(4)113.
201.
60.
1(5)0.
0.
255.
255(6)2000问题一:(共9分)(1)对设备进行重命名.
(2)进入端口子模式(3)给端口配置IP和掩码.
(4)配置默认路由,下一跳指向ISP地址.
(5)配置反掩码(6)把符合ACL2000的地址做NAT转换答案解析:问题二:(共6分)(7)hybird(8)10.
10.
20.
1255.
255.
255.
0(9)enable(10)3问题二:(共6分)(7)除了Access类型和Trunk类型外,交换机还支持第三种Hybrid类型端口.
这种接口可以接收和发送多个VLAN数据帧,同时还能指定对任何VLAN帧进行剥离标签操作.
(8)配置接口IP和掩码(9)dhcpenable:开启DHCP配置.
leaseday3:配置租约期间为3天.